Una nuova campagna di distribuzione di malware denominata “FakeCrack” è stata scoperta dagli analisti di Avast Threat Labs, secondo cui dai dati di telemetria dei propri clienti avrebbero rilevato un alto tasso di tentativi di infezione giornalieri. La maggior parte delle vittime sarebbero in Francia, Brasile, Indonesia e India. Ma anche in Italia, seppur con minor incidenza, sarebbero state registrate delle segnalazioni.
Indicizzazione Black SEO
Il malware distribuito in questa campagna, promosso attraverso i risultati di ricerca spacciati per promuovere copie craccate di software noti come giochi e utility varie, sarebbe un infostealer in grado di carpire password, dati di carte di credito e portafogli crittografici, instradando il traffico di rete verso un server proxy presidiato per l’esfiltrazione.
Gli attori delle minacce dietro la campagna seguirebbero il meccanismo noto come Black SEO che sfrutta le tecniche di indicizzazione dei motori di ricerca per classificare dei siti vettori in alto nei risultati di ricerca di Google, in modo che più persone vengano indotte a scaricare gli eseguibili malevoli.
In particolare modo i campioni analizzati da Avast verrebbero propinati come una versione craccata del programma CCleaner Pro per Windows, il popolare spazzolino giallo per pulire il sistema Windows e ottimizzarne le prestazioni, già peraltro passato, tempo fa, agli onori della cronaca per essere stato bandito da Microsoft.
Secondo Avast, i marchi abusati per questa campagna sarebbero anche:
- “Microsoft Office”;
- “Movavi Video Editor 22.2.1 Crack”;
- “IDM Download Free Full Version With Serial Key”;
- “Movavi Video Editor 22.2.1 Crack”;
- “Crack Office 2016 Full Crack + Product Key (Activator) 2022”.
La pagina di destinazione
Secondo il rapporto, i risultati di ricerca corrotti porterebbero la vittima attraverso diversi reindirizzamenti verso una pagina di destinazione, solitamente ospitata su piattaforme di file hosting legittime come filesend.jp o mediafire.com, che offre il download di un file .ZIP.
Tale ZIP protetto da password servirebbe soltanto a proteggere il carico utile .exe (“setup.exe” o “cracksetup.exe”) dal rilevamento del software antivirus.
L’analisi di alcuni dei campioni intercettati da Avast avrebbe consentito di constatare le attività dell’infostealer che puntano principalmente sulla scansione del PC dell’utente e sulla raccolta di informazioni sul sistema, il software installato, gli screenshot e i dati raccolti dal browser comprese le password, dati di carte di credito o di portafogli elettronici.
Tutti i dati verrebbero archiviati in formato ZIP crittografato ed esfiltrati verso i server C2.
Manipolazione degli appunti e delle impostazioni proxy
Oltre a rubare informazioni personali sensibili, l’infostealer si occuperebbe anche di sostituire gli indirizzi dei portafogli carpiti con altri gestiti dagli operatori malevoli tramite una funzione dedicata, dirottando in tal modo le transazioni dei pagamenti.
“La funzione periodic_clipboard_checks viene chiamata in un ciclo infinito. Ogni chiamata della funzione check_clipboard verifica la presenza dell’indirizzo del portafoglio negli appunti e ne modifica il contenuto nell’indirizzo controllato dell’attaccante. L’attaccante è preparato per vari portafogli crittografici, che vanno da Terra, Nano, Ronin o Bitcoincash.”, spiega Pavel Novak nel suo rapporto Avast
Inoltre il malware riuscirebbe a rubare credenziali e altri dati sensibili da alcuni mercati di criptovalute, utilizzando anche un server proxy in particolare (104[.]155.207.188).
“Gli aggressori sono stati in grado di impostare un indirizzo IP per scaricare uno script di configurazione automatica proxy (PAC) dannoso. Impostando questo indirizzo IP nel sistema, ogni volta che la vittima accede a uno qualsiasi dei domini elencati, il traffico viene reindirizzato a un server proxy sotto il controllo dell’attaccante“, continua il rapporto.
In questo scenario il proxy verrebbe aggiunto aggiornando la chiave di registro “HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings“.
Conclusioni
Poiché la campagna sarebbe secondo le indicazioni già abbastanza diffusa con tassi di infezione elevati, Avast consiglia oltre che di attenersi sempre alle versioni software ufficiali anziché a quelle craccate, di controllare le proprie impostazioni proxy e di rimuovere eventuali impostazioni non previste.
In quest’ultimo caso occorre disabilitare dalle Impostazioni di Windows l’opzione “Usa uno script di configurazione” oppure in alternativa eliminare l’indirizzo dello script proxy PAC dalla chiave di registro AutoConfigURL presente in “Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings“
L’ammonimento di CCleaner
Dalla sua pagina ufficiale CCleaner fa sapere ai suoi utenti che “Ci sono una serie di ragioni per cui scaricare il software crack di CCleaner o qualsiasi software piratato pone seri rischi per la salute del tuo computer e la privacy dei tuoi dati. Gli hacker possono facilmente incorporare codice dannoso in versioni modificate di software a pagamento, il che potrebbe comportare:
- un virus
- un attacco ransomware
- malware o spyware sul tuo computer
- furto di dati personali o file
- password del sito Web rubate o dettagli dell’account
- carta di credito o dati bancari rubati
- altri dati digitali rubati, come la cronologia di navigazione web
- un keylogger che registra ciò che scrivi in modo che i criminali informatici possano ricattarti“,
e conclude:
“Scarica sempre il software da una fonte attendibile. I siti di terze parti specializzati nel cracking spesso hanno reindirizzamenti che ti portano a siti pericolosi e tutto ciò che scarichi (come una versione crack di CCleaner) potrebbe essere stato infettato da qualcosa di dannoso apposta per il loro guadagno“.
